Попортилась таблица маршрутизации.

[smplmnd]

Началось с того, что не открывался gmail. tracert google.ru пошел не через шлюз по умолчанию. route print показал 204 постоянных маршрута (если интересно, могу приложить вывод route print). ИЕ падал при попытке открыть http://virusinfo.info/pravila.html.
На всякий случай был проверен файл hosts, в нем обнаружена строка 127.0.0.1 activate.adobe.com. В каталоге %windir%\system32 был обнаружен файл с именем 721f07e0.exe. Строку удалили, файл удалили, таблицу маршрутизации почистили, перезагрузились, таблица маршрутизации опять оказалась поврежденной.
В безопасном режиме проверили CureIt!'ом, он нашел и удалил файл %windir%\system32\pnwtop.exe, после перезагрузки таблица маршрутизации опять оказалась поврежденной.
Согласно Правилам запустили avz (на зеркале устаревшая версия, кстати) - virusinfo_syscure.zip в приложении, virusinfo_cure.zip на диске. После перезагрузки таблица маршрутизации оказалась правильной; virusinfo_syscheck.zip и hijackthis.log - в приложении.
В общем, все в порядке: ИЕ открывает http://virusinfo.info/pravila.html, таблица маршрутизации не портится, вот интересно, все ли излечено?

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('c:\windows\system32\721f07e0.exe','');
 DeleteFile('c:\windows\system32\721f07e0.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[smplmnd]

Запрошенный карантин отправил, логи - в приложении

[polword]

в логах чисто

[smplmnd]

в логах чисто

Следовательно, все в порядке?

Добавлено через 1 час 33 минуты

upd. Совсем забыл. Этот вирус поудалял точки восстановления. 20 минут назад начал лечить точно такой же вирус в другой сети. Недолго думая, удалил сомнительные файлы из system32 и вызов их в HKLM\Microsoft\WindowsNT\CurrentVersion\Winlogon\U serinit - теперь и не узнать, что за вирус :-(

[polword]

Следовательно, все в порядке?

да

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены